4.9 Protection des données au niveau Salarié
On a vu dans les chapitres précédents les différentes règles et contrôles d'accès régis par LDPaye. Mais toutes ces sécurités d’accès sont faites au niveau d’une société. Dès lors qu’un utilisateur a accès à une société donnée, il visualise les données de l’ensemble des salariés de la société.
On va voir dans ce chapitre comment mettre en place un contrôle plus fin, au travers d’une couche supplémentaire de sécurité (optionnelle) ajoutée au niveau « Salarié ».
Concrètement, on dispose d’un champ dans la fiche Salarié, au bas de l’écran Compléments :
Par défaut, ce champ est initialisé à la valeur Aucun, ce qui correspond au fonctionnement standard : tout utilisateur ayant accès à la société a accès à tous les salariés de la société.
Mais en choisissant pour les salariés que l’on veut protéger une valeur autre, on limite l’accès aux données de ce salarié aux seuls utilisateurs ayant un niveau d’accès à la société plus grand ou égal au niveau demandé ici. Par exemple, si on choisit ici la valeur Complet, seuls les utilisateurs ayant un niveau d’accès Complet ou Administrateur à cette société pourront accéder à cette fiche.
Rappel important : les utilisateurs définis comme étant Administrateur de sécurité (case à cocher dans la fiche de l’utilisateur) ont implicitement accès à toutes les sociétés, avec un niveau Administrateur. Ainsi, même si on ne leur a pas accordé explicitement un niveau d’accès précis pour une société, le simple fait qu’ils soient Administrateur leur donne accès à toutes les sociétés, et à tous les salariés de ces sociétés. Même si cela peut paraître gênant pour certains, il n’est pas possible de faire autrement : un Administrateur ayant accès à toutes les options de gestion de la sécurité, il pourrait de toute façon contourner facilement une éventuelle limitation d’accès.
Sur tous les écrans de type « liste de salariés », les salariés auxquels on n'a pas accès en raison d'un niveau d'accès société insuffisant sont masqués. Une icône met en évidence ce fait, en partie haute de l'écran, avec une bulle d'aide explicative en survol de cette icône.
Principales fenêtres réagissant ainsi : fenêtre principale de gestion des salariés, fenêtre de sélection d’un salarié, Calcul des bulletins, Bureautique, Gestion des cumuls et cumuls cotisation, Saisie des éléments variables, Gestion des constantes salariés, Gestion des évènements, Gestion des prêts, Gestion des périodes d'inactivité.
Sur les états de type « liste de salariés », les salariés auxquels on n'a pas accès en raison d'un niveau d'accès société insuffisant sont masqués également. Et ils ne sont pas non plus sommés. Les totaux en fin d'état sont donc « partiels ».
Là aussi, le fait qu'au moins un salarié a été omis de l'état est mis en évidence par une image et un texte explicatif en partie haute de l'état (sur toutes les pages), et parfois aussi sur le total en fin d'état (journaux notamment).
Principaux états concernés : Liste des salariés, Liste des situations des salariés, Liste des constantes salariés, Journaux standards, Journaux détaillés, Liste des éléments variables, Liste des paiements, Préparation des virements, Liste des évènements, Liste des prêts, Liste des périodes d’inactivité, Liste des contrats de prévoyance, Augmentation générale ...
A savoir : dans les deux cas (listes écran ou états), le filtrage des salariés « protégés » se fait après tous les autres critères de filtrage. Ainsi, le repère indiquant qu'au moins un salarié a été masqué n'apparait qu'à bon escient.
Certains traitements sont impactés par la mise en place d'un tel niveau de protection, même s’ils ne font pas apparaître directement une liste de salariés. Citons par exemple : l’impression des fiches individuelles, les journaux cumulés, les boutons Tout calculer et Tout supprimer de la fenêtre de calcul des bulletins lorsqu’on choisit ensuite l'option Tous les salariés de la société, le bouton Tout imprimer de la fenêtre de calcul des bulletins ou le traitement d’impression des bulletins appelé depuis le menu lorsqu’on choisit l'option Tous les bulletins calculés. Partout dans ces traitements, les salariés auxquels on n'a pas accès sont ignorés, et un message signale le cas échéant qu'au moins un salarié n'a pas été traité.
De plus, sur les écrans où l’on choisit explicitement le salarié sur lequel on veut intervenir, par saisie de son N° matricule (Saisie des éléments variables, Journaux cumulés pour un salarié…), le choix d'un salarié auquel on n'est pas autorisé est rejeté, avec affichage d’un message d’erreur ad’ hoc.
Que ce soit lors de la phase de préparation d’une liste de paiements, d’une réimpression d’une liste de paiements préparée antérieurement, ou de la constitution finale de l’ordre de virement, les salariés auxquels on n’a pas accès sont bien entendu omis.
Attention à la création de l’ordre de virement : il ne suffit pas que la personne réalisant cette opération soit autorisée à l’ensemble des salariés. Si la préparation des paiements a été réalisée par une personne n’ayant pas accès à l’ensemble des salariés, cette phase de préparation est incomplète. Et l’ordre de virements qui en découle sera lui aussi incomplet.
Notez qu’en tout état de cause, le marquage des bulletins de paye comme ayant été « virés » ne se fait que pour ceux qui l’ont été effectivement. Les salariés omis de ce traitement en raison d’un niveau d’accès insuffisant ne sont donc pas marqués. Il est donc possible pour une personne ayant l’accès à tous les salariés de recommencer ensuite le traitement de préparation des paiements et de constitution de l’ordre des paiements : seuls les salariés omis lors du premier traitement seront « virés » dans ce 2ème ordre de paiement.
Attention toutefois en cas de paiement partiel : le marquage se fait lors de la préparation et non lors du virement. Si ce n'est pas la même personne qui prépare la liste et qui effectue ensuite le virement, il se peut que le salarié soit marqué lors de la préparation, mais que le virement ne parte pas !
Pour ce qui est du démarquage des paiements :
Conseil pratique : tout cela étant assez complexe, le mieux serait de s'en tenir à une règle simple : la personne qui prépare les paiements et effectue les virements doit avoir accès à tous les salariés. Si ce n'est pas le cas, le mieux est d'isoler les salariés « protégés » sur un code statistique particulier de façon à pouvoir les sélectionner séparément dans ces traitements de paiement.
Sur ces états, le repère indiquant qu’un salarié au moins a été masqué n'est pas global à l'état, mais géré distinctement pour chaque critère principal de tri (en principe l'établissement) et chaque organisme. Ainsi, on sait clairement pour quel organisme les données sont « partielles ». Les totaux où le repère n’apparait pas sont donc corrects, et peuvent être utilisés pour renseigner le formulaire DUCS.
En sus du repère signalant qu'un salarié a été masqué sur l'état ou le bordereau, on a systématiquement un message signalant ce fait avant l'impression. En effet, du fait que le repère sur l'état est géré « page par page », il se peut que l'on ait masqué des salariés et que le repère n'apparaisse nulle part sur l'état, si le salarié masqué était seul pour un couple (Critère principal de tri + Code organisme). Imaginons par exemple qu'on ait un service avec un seul salarié, et que ce salarié soit masqué : si on demande l'état trié par service, ce service n'apparaitra nulle part sur l'état, et donc aucun repère de salarié masqué n’apparait sur l’état, même sur le total général en fin d’état.
Pour ce qui est des bordereaux de versement DSN, aucun filtrage particulier n'est réalisé pour tenir compte de ces droits d'accès au niveau salarié. Dans la grande majorité des cas, cela n'est pas un souci : ces bordereaux ne présentent jamais de données nominatives et sont toujours en cumul par établissement. Cela étant, si on a par exemple un seul salarié Cadre dans un établissement donné, et que la caisse de données des cadres n'est pas la même que celles des salariés non cadres, on pourra obtenir un bordereau de versement pour la caisse de prévoyance des cadres et l'établissement concerné dont les totaux permettent de connaître le brut du salarié en question. La seule façon d'éviter cela est alors de réserver l'accès à la fenêtre de gestion des bordereaux de versement DSN pour la société concernée aux seuls utilisateurs disposant d'un niveau Administrateur.
Comme décrit au chapitre précédent, l'accès à une déclaration est limité aux seuls utilisateurs ayant un niveau d'accès Complet ou Administrateur pour la ou les sociétés contenues dans une déclaration.
En complément de cela, pour les sociétés où l'on a un accès Complet et pas Administrateur, l'accès à la déclaration est également bloqué si la société en question contient au moins un salarié (présent ou parti, et même s'il n'est pas dans la déclaration concernée) nécessitant un niveau Administrateur.
Ce contrôle est fait soit quand on demande à « ouvrir » une déclaration, mais aussi lors d'une demande de création d'une déclaration, pour l'affichage de la liste des établissements pouvant être inclus dans la déclaration.
Si vous avez mis en place, dans votre environnement de paye, l’accès au logiciel États et Requêtes, et que vous souhaitez mettre en place également la gestion des sécurités telle qu’elle est décrite dans ce paragraphe, il est bien évident que les utilisateurs dont on a limité l’accès à certaines fiches salariés ne doivent pas non plus avoir accès à États et Requêtes. Car ce logiciel permet d’interroger directement la base de données, en faisant fi des sécurités mises en place au travers des programmes de LDPaye.
Rien n’empêcherait un tel utilisateur de demander une liste (une requête dans la terminologie États et Requêtes) du fichier des salariés ou des constantes salariés : et c’est la totalité des salariés qui apparaîtrait sur cette liste !
Même remarque concernant l’utilisation d'une solution décisionnelle telle que LDVision. Sauf à configurer des univers « spécifiques » exploitant la donnée Niveau requis pour accéder à la fiche du fichier Personnel (donnée qu’il faudrait alors « descendre » dans l’entrepôt de données), rien n’interdit à l’utilisateur LDVision d’accéder à toutes les fiches salariés.
Mais en règle générale, les personnes qui utilisent ces logiciels États et Requêtes et/ou LDVision sont celles qui ont déjà accès à la totalité des données de paye.
|
Chapitre précédent
|
Chapitre parent
|
Chapitre suivant
|